正文

从零开始自实现先锋马思路

admin
admin V管理员 /0 评论 /58 阅读
0330
此篇文章发布距今已超过22天,您需要注意文章的内容或图片是否可用!

目录

  • 前记
  • BOF
  • sleepmask
  • anti-sandbox
  • vehsyscall
  • Persistence
  • Others
  • 效果展示

前记

在Cobalt Strike备受关注的今天,红队自研属于自己的先锋马是有一定价值的。入侵后让稳定性得到保证,在低权限下先做好持久化,然后通过先锋马拉大马完成后续操作。

正如老鑫说过,先锋马其实也不需要花费那么多时间,不必太花哨,只需要维持一个基本的链接就行,剩下的功能不如全交给BOF吧。

BOF

执行bof的本质是解析coff格式的obj文件,用010可以清晰的观察到obj文件构成格式,具体结构如下

FileHeader

偏移
大小
描述
0
2
Machine
标识目标机器类型的数字
2
2
NumberOfSections
节表项的数目
4
4
TimeDateStamp
时间戳
8
4
PointerToSymbolTable
符号表的文件指针
12
4
NumberOfSymbols
符号表中的元素数目
16
2
SizeOfOptionalHeader
COFF文件都为0
18
2
Characteristics
文件属性

SectionHeaders[]

偏移
大小
描述
0
8
Name
节区名字,目标文件中如果名字很长,导致8字节存不下, 可以将节名字变成/offset,这种形式,offset对应字符串表中偏移。
8
4
VirtualSize
obj文件始终为0
12
4
VirtualAddress
obj文件中大多数为0,不为0的话重定位时需要减去
16
4
SizeOfRawData
对于obj文件,节区的大小
20
4
PointerToRawData
节区的文件指针
24
4
PointerToRelocations
obj节中重定位项的文件指针,PE有重定位表,不需要这个
28
4
PointerToLinenumbers
一般都为0,微软已不建议obj中保留行号信息
32
2
NumberOfRelocations
obj节中重定位项个数
34
2
NumberOfLinenumbers
一般都为0,微软已不建议obj中保留行号信息
36
4
Characteristics
描述节特征的标志

Reloc[]

偏移
大小
描述
0
4
VirtualAddress
需要进行重定位的代码或数据的地址。这是从节开头算起的偏移,加上节的 RVA/Offset 域的值。
4
4
SymbolTableIndex
符号表的索引(从 0 开始),这个符号给出了用于重定位的地址。
8
2
Type
重定位类型,与指令集相关

Symbol[]

偏移
大小
描述
0
8
Name
符号名字(字符数组或者字符串表的偏移量)
8
4
Value
通常表示目标符号的定义地址,具体由ectionNumber 和StorageClass域决定
12
2
SectionNumber
通常这个带符号整数是节表的索引(从 1 开始),用以标识定义此符号的节 这个字段还包括一些特殊值,如符号未在当前文件中定义的情况
14
2
Type
符号类型:0x20函数,0x0非函数
16
1
StorageClass
存储类别的枚举
17
1
NumberOfAuxSymbols
跟在普通符号后面的辅助符号表项的个数

重定位类型:

枚举
描述
MAGE_REL_AMD64_ABSOLUTE
0x0000
重定位被忽略
IMAGE_REL_AMD64_ADDR64
0x0001
重定位目标的64位 VA
IMAGE_REL_AMD64_ADDR32
0x0002
重定位目标的32位 VA
IMAGE_REL_AMD64_ADDR32NB
0x0003
重定位目标的32位RVA
IMAGE_REL_AMD64_REL32
0x0004
相对于重定位目标的32位地址
MAGE_REL_AMD64_REL32_x
0x0005 ~ 0x0009
相对于距重定位目标x字节处的32位地址

解析过程如下:

  • 读取coff文件,拿到各表起始位置并解析结构
  • 遍历节区,处理重定位表。(对于长名称符号(外部符号)的IMAGE_REL_AMD64_REL32需要根据__imp_动态获取函数地址)
  • 遍历符号表,找到入口点,通过SectionNumber和Symbol[i].Value跳到入口
  • 执行入口点
  • 清理资源

sleepmask

由于设计了heartbeat,为了对抗内存扫描,sleepmask是需要的。

实现过程如下:

  • HookedSleep
  • 挂起当前进程除当前线程外的其他线程(te.th32ThreadID != targetThreadId && te.th32OwnerProcessID == targetProcessId)
  • 加密内存
  • 调用原来的sleep
  • 解密内存
  • 恢复挂起的线程

anti-sandbox

网上的方法太多了,略。

硬件检测、开机时间、进程数量、路由表、时钟、鼠标移动…

vehsyscall

设计用来执行shellcode,避免三环上NTDLL被挂钩分析

实现过程如下:

  • zw记录ssn_map
  • AddVectoredExceptionHandler
  • 调用一系列Nt函数配合VectExceptionHandler构造的syscall_stub写入
  • 创建线程执行shellcode

Persistence

通过白加黑写注册表,这里找比较权威的白文件,比如杀软或微软自己的组件,通过断链的方式拉起白文件构造可信的进程链

Others

screenshot

SetProcessDPIAwareGetDeviceCaps

通过上面两个api获取真实的屏幕尺寸

filesystem/cmd/heartbeat

没什么好介绍的,fstream/_popen/sleep常规代码,这里设置每次随机0.7-1.2倍心跳

通信是通过第三方库加密避免被EDR检测出敏感的通信流量

效果展示

附带效果图,为卡巴斯基EDR环境下执行shellcode、Bof、加注册表权限维持

文章首发于:渗透测试安全攻防


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om